(PHP 4 >= 4.3.0, PHP 5)
mysql_real_escape_string — Escapa caracteres especiales en una cadena para su uso en una sentencia SQL
Esta extensión fue declarada obsoleta en PHP 5.5.0 y eliminada en PHP 7.0.0. En su lugar debería utilzarse las extensiones MySQLi o PDO_MySQL. Véase también la guía MySQL: elegir una API y sus P+F relacionadas para más información. Alternatives to this function include:
$unescaped_string
[, resource $link_identifier = NULL
] )
Escapa caracteres especiales en la cadena dada por unescaped_string,
teniendo en cuenta el conjunto de caracteres en uso de la conexión, para que
sea seguro usarla en mysql_query(). Si se van a insertar
datos binarios, se ha de usar esta función.
mysql_real_escape_string() llama a la función mysql_real_escape_string de la biblioteca de MySQL, la cual antepone barras invertidas a los siguientes caracteres: \x00, \n, \r, \, ', " y \x1a.
Esta función siempre debe usarse (con pocas excepciones) para hacer seguros los datos antes de enviar una consulta a MySQL.
El conjunto de caracteres debe ser establecido o bien a nivel del servidor, o bien con la función mysql_set_charset() de la API para que afecte a mysql_real_escape_string(). Véase la sección sobre los conceptos de conjuntos de caracters para más información.
unescaped_stringLa cadena a escapar.
link_identifierLa conexión MySQL. Si no
se especifica el identificador de enlace, se asume el último enlace abierto
por mysql_connect(). Si no se encuentra este enlace, se
intentará crear un nuevo enlace como si mysql_connect() hubiese sido invocada
sin argumentos. Si no se encuentra o establece ninguna conexión, se genera un error
de nivel E_WARNING.
Devuelve la cadena escapada, o FALSE en caso de error.
Ejecutar esta función sin una conexión de MySQL presente también
emitirá errores de nivel E_WARNING de PHP. Solo
se ha de ejecutar con una conexión de MySQL válida presente.
Ejemplo #1 Ejemplo sencillo de mysql_real_escape_string()
<?php
// Conexión
$enlace = mysql_connect('anfitrión_mysql', 'usuario_mysql', 'contraseña_mysql')
OR die(mysql_error());
// Consulta
$consulta = sprintf("SELECT * FROM users WHERE user='%s' AND password='%s'",
mysql_real_escape_string($usuario),
mysql_real_escape_string($contraseña));
?>
Ejemplo #2 mysql_real_escape_string() requiere una conexión
Este ejemplo muestra lo que sucede si no hay presente una conexión de MySQL al invocar a esta función.
<?php
// No nos hemos conectado a MySQL
$apellido = "O'Reilly";
$_apellido = mysql_real_escape_string($apellido);
$consulta = "SELECT * FROM actors WHERE last_name = '$_apellido'";
var_dump($_apellido);
var_dump($consulta);
?>
El resultado del ejemplo sería algo similar a:
Warning: mysql_real_escape_string(): No such file or directory in /this/test/script.php on line 5 Warning: mysql_real_escape_string(): A link to the server could not be established in /this/test/script.php on line 5 bool(false) string(41) "SELECT * FROM actors WHERE last_name = ''"
Ejemplo #3 Un ejemplo de ataque de inyección de SQL
<?php
// No hemos comprobado $_POST['password'], ¡podría ser cualquier cosa que el usuario quisiera! Por ejemplo:
$_POST['username'] = 'aidan';
$_POST['password'] = "' OR ''='";
// Consultar la base de datos para comprobar si existe algún usuario que coincida
$consulta = "SELECT * FROM users WHERE user='{$_POST['username']}' AND password='{$_POST['password']}'";
mysql_query($consulta);
// Esto significa que la consulta enviada a MySQL sería:
echo $consulta;
?>
La consulta enviada a MySQL:
SELECT * FROM users WHERE user='aidan' AND password='' OR ''=''
Esto permitiría a alguien acceder a una sesión sin una contraseña válida.
Nota:
Se requiere una conexión a MySQL antes de usar mysql_real_escape_string(), si no, se generará un error de nivel
E_WARNING, y se devolveráFALSE. Silink_identifierno está definido, se usará la última conexión a MySQL.
Nota:
Si magic_quotes_gpc está habilitado, primero se ha de aplicar stripslashes() a los datos. Si se usa esta función en datos que ya han sido escapados, se escaparán dos veces.
Nota:
Si esta función no se utiliza para escapar los datos, la consulta es vulnerable a Ataques de inyección SQL.
Nota: mysql_real_escape_string() no escapa % ni _. Estos son comodines en MySQL si se combinan con LIKE, GRANT, o REVOKE.